8 principů, se kterými zajistíte bezpečnost v cloudu aneb jiná perspektiva cloud security, než čekáte

8 principů, se kterými zajistíte bezpečnost v cloudu | Encyklopedie cloudu ORBIT

V cloudu je odpovědnost za bezpečnost sdílená. Je to riziko, nebo benefit? Mohou být počáteční obavy vystřídány nadšením, jak bezpečný a užitečný může cloud být? V tomto článku vám představím svůj pohled na téma cloud security a popíšu vám osm bezpečnostních principů, které musíme při cestě do cloudu dodržovat.

Lukáš Klášterský

Cloud, bezpečnost, sdílená odpovědnost a 8 principů  

Jednou ze základních vlastností cloudu je, že bezpečnost je sdílená mezi poskytovatele a uživatele cloudu. Poskytovatel je odpovědný za bezpečnost samotné cloudové platformy. Uživatel odpovídá za bezpečnost svých dat, a podle typu cloudu sdílí s poskytovatelem cloudu odpovědnost za koncová zařízení, identitu, aplikace a za řízení sítě a infrastruktury.  

V on-premise je tomu jinak, tam je uživatel zodpovědný za vše (což znázorňuje následující obrázek od cisecurity.org): 

Bezpečnost v cloudu vs. on-premise | Encyklopedie cloudu ORBIT

Zatímco inovace a dostupnost zajímavých technologií jsou hlavními motivacemi pro přechod do cloudu, bezpečnost v cloudu si spojujeme s obavami z neznámého a s opatrností, jak do cloudu vstoupit.

Takže zatímco obecné obavy z cloudu jsou dávno pryč, cloud security je stále velkým tématem. Dokládají to cloudové průzkumy, v nichž se cloudová bezpečnost pravidelně objevuje na předních místech, například ve State of the Cloud Report 2022:

Obavy z cloudu | Encyklopedie cloudu ORBIT

Sdílení odpovědnosti s sebou přineslo 8 bezpečnostních principů pro cestu do cloudu, které si podrobně rozebereme:

  1. Vyrovnejme se s novými principy IT architektury.
  2. Řešme oblasti bezpečnosti, které jsme v on-premise řešit nemuseli.
  3. Definujme si přístup k bezpečnosti v cloudu.
  4. Integrujme bezpečnost cloudu a on-premise.
  5. Využijme nepřeberné množství cloudových bezpečnostních nástrojů.
  6. Řiďme bezpečnost pomocí předdefinovaných politik a konfigurací.
  7. Zlepšujme bezpečnost pomocí automatizace, blueprintů a risk base přístupu.
  8. Dosáhněme bezpečnostní nirvány aneb continuous cloud compliance.

1. Vyrovejme se s novými principy IT architektury

Proč je bezpečnost v cloudu významně větší téma než v on-premise? S existencí cloudu se změnilo mnoho principů IT a s tím i přístup k bezpečnosti. Základní rozdíly jsou v těchto sedmi oblastech:

OblastOn-premiseCloud
PerimetrIT leží uvnitř perimetru, který je jeho obrannou linií.Perimetr přestal existovat nebo existuje ve více dimenzích.
Koncová zařízeníVše v rámci perimetru je bezpečné, zabezpečují se přístupy zvenčí.Zabezpečení závisí na typu zařízení, místa, uživatele a na jeho roli.
AutomatizaceJsou k dispozici jen zřídka.Je nativně podporovanou funkcionalitou.
Governance bezpečnostiÚplná odpovědnost (E2E) uvnitř perimetruSdílená odpovědnost podle typu služby (IaaS, PaaS, SaaS)
Principy bezpečnostiStatické zdroje a statistická bezpečnostní pravidlaDynamické zdroje a dynamická bezpečnostní pravidla
Bezpečnostní nástrojeKaždá technologie je zvlášť integrována do bezpečnostního modelu a monitorována.Bezpečnostní funkce jsou nativně integrovány do bezpečnostního modelu cloudové platformy, jeho monitoringu a API .
Byznys kontinuita (BC)BC plány jsou individuální podle aplikací a infrastruktury.BC plány je možné sladit podle možností a limitů platformy.

V on-premise architektuře musíme zohlednit jen některé z výše uvedených oblastí. Pokud ale chceme využívat cloud, musíme všech sedm oblastí zohlednit jak v architektuře, tak v bezpečnosti a v souvisejících procesech.

2. Řešme oblasti bezpečnosti, které jsme v on-premise řešit nemuseli

Kvůli sdílené odpovědnosti v cloudu se musíme nově zabývat těmito oblastmi bezpečnosti a její governance:

  • Jak smluvní podmínky garantují bezpečnost?
  • Kde jsou umístěna data a jaká je jejich klasifikace?
  • Jakým způsobem mohu od poskytovatel odejít?
  • Jakým způsobem řídí poskytoval bezpečnost?
  • Mají pracovníci poskytovatele přístup k mým datům a jak jsem o tom informován?
  • Jakým způsobem poskytovatel provádí audit řízení bezpečnosti a jaký je k těmto informacím přístup?

O těchto tématech si povíme více v některém z dalších článků Encyklopedie cloudu věnovaném cloud compliance.

3. Definujme si přístup k bezpečnosti v cloudu

Pro bezpečnost v on-premise i v cloudu platí základní premisa: Je to naše prostředí a musíme se postarat o jeho bezpečnost. Tato premisa musí být vytesána do kamene v obou prostředích, v cloudu však platí kvůli sdílené odpovědnosti dvojnásob.

4. Integrujme bezpečnost cloudu a on-premise

Cloud přináší do oblasti bezpečnosti technická témata, která je potřeba vyřešit, aby prostředí v on-premise a v cloudu mohla koexistovat.

OblastCloud
Podmíněný přístupŘízení přístupu k aplikacím a IT službám na základě typu a stavu zařízení, místa a role uživatele či aplikace a na základě určení rizikovosti v reálném čase (podle zásad Zero Trust)
Hybridní cloudová identitaFungující hybridní identita je podmínkou schopnosti řídit uživatele a korporátní data kdekoliv v korporátní síti i v cloudu.
Klasifikace informacíOchrana dat a dokumentů pomocí klasifikace včetně zabezpečení pomocí technických prostředků (např. šifrování)
Adaptivní bezpečnostZměna přístupu ze statických pravidel na průběžný dynamický styl. Běžné chování je bezpečné a neobvyklé chování je nebezpečné.
Integrace cloudu do on-premiseLanding zónu cloudu je nutné propojit s on-premise na úrovni sítí, provozního a bezpečnostního monitoringu, identit.

5. Využijme nepřeberné množství cloudových bezpečnostních nástrojů

Pokud úspěšně zvládneme předchozí čtyři oblasti, můžeme čerpat benefity cloudu. Prvním z nich je, že nám poskytovatelé cloudu nabízejí nepřeberné množství nástrojů a technologií v oblasti bezpečnosti, které jsou v cloudových platformách integrovány a připraveny k okamžitému použití.

Příklady nástrojů v AWS a Azure:

  • AWS Security Hub – centrum bezpečnosti v prostředí Amazon Web Service, který integruje rozdílné bezpečnostní služby a řešení, poskytuje centrální pohled na veškeré plnění bezpečnostních politik a umožnuje automaticky reagovat na konkrétní bezpečnostní incidenty.
  • AWS Config – součást AWS Security Hubu, nicméně je možné jej využít samostatně bez ohledu na Security Hub. AWS Config udržuje aktuální stav a konfiguraci veškerých komponent a umožnuje tvořit jednotlivá pravidla pro jejich kontrolu.
  • Azure Policy – nástroj pro definování bezpečnostních politik a validaci (ne)souladu jednotlivých prostředků s těmito politikami. Obrovskou výhodou implementace Azure Policy je její cena – je totiž zcela zdarma.
  • Defender for Cloud – nástroj nejen pro prostředí Azure (dokáže integrovat i AWS a GCP), který umožňuje: a) kontinuální např. Microsoft Sentinel).
AWS Security Hub | Encyklopedie cloudu ORBIT

6. Řiďme bezpečnost v cloudu pomocí politik a konfigurací

Dalším klíčovým benefitem cloudu je řízení bezpečnosti pomocí předdefinovaných politik a konfigurací, které poskytovatelé AWS i Azure nabízejí zdarma a stačí je okamžitě využívat. Existují více než stovky předpřipravených pravidel typu:

  • Je zapnutý web application firewall na mém loadbalanceru?
  • Je moje databáze zálohovaná?
  • Jsou moje disky šifrované?
  • Je zakázán veřejný přístup k mému Kubernetes clusteru?

Existují i předpřipravené bezpečnostní politiky a pohledy pro různé standardy, například:

  • ISO 27000:2013
  • Center for Internet Security benchmark (CIS)
  • NIST Framework
  • Payment Card Industry Data Security Standard (PCIDSS)

a další, včetně možnosti vytvářet si svoje vlastní bezpečnostní politiky nebo upravovat předdefinované.

ISO 27000:2013 | Encyklopedie cloudu ORBIT

Nástroje spolu s předpřipravenými konfiguracemi a politikami podporují tři základní principy bezpečnosti v cloudu:

A) continuously assess – průběžně kontroluj své bezpečnostní nastavení,

B) secure – zlepšuj bezpečnostní nastavení cloudových zdrojů a služeb,

C) defend – odhal a vyřeš bezpečnostní hrozby.

Základní principy cloud security | Encyklopedie cloudu ORBIT

7. Zlepšujme bezpečnost v cloudu pomocí automatizace, blueprintů a risk base přístupu

Dalším klíčovým benefitem cloudu je využití automatizace a blueprintů, tedy konfiguračního standardu infrastruktury ve formě IaaC (Infrastructure as a Code). Společně se cloudu automatizovat dobře navazují na automatizaci nasazování aplikací pomocí CI/CD pipeline a pomáhají inovovat, zrychlovat a zefektivňovat IT. DevOps se stává IT realitou.

Šablony blueprintů  opakovatelné nasazení aplikace, infrastruktury a bezpečnostních konfigurací. Důležité je mít definovaný set bezpečnostních parametrů (například vulnerabilit scan, penetrační testy, OS hardening, umístění dat, šifrování dat atd.) a pravidla, kdy mají být dané parametry aplikovány.

Dobrou praxí pro sestavení katalogu bezpečnostních parametrů je využít risk based přístup, tedy definovat si pro aplikace v cloudu třídy rizik a k nim přiřadit bezpečnostní opatření. Výsledkem může být například pět tříd aplikací, kdy vyšší třída rozšiřuje parametry třídy nižší.

TřídaTyp AplikaceBezpečnostní opatření
L0Pro všechny – nejnutnější minimumOS hardening, hardening aplikačních serverů, audit log do samostatného bezpečnostního accountu
L1Pro vývojová prostředí bez citlivých datmonitoring SIEM 2 měsíce
L2Testovací a akceptační prostředí Vývojová prostředí s citlivými datymonitoring SIEM 1 rok, vunerability scan, maskování dat, pentest
L3Produkční prostředí bez citlivých datšifrování dat AWS klíčem
L4Produkční prostředí s velmi citlivými datyšifrování dat AWS CloudHSM

8. Dosáhněme bezpečnostní nirvány aneb continuous cloud compliance

Posledním klíčovým benefitem cloudu je continuous cloud compliance (o němž byla řeč v samostatném článku EC). Tento princip umožnuje řídit cloudová prostředí aplikací a sledovat naplnění bezpečnostních i provozních politik nejen v době vytváření prostředí, ale kontinuálně po celou dobu provozu aplikace.

V případě non-compliance stavu dochází k automatické notifikaci operations nebo security týmu dle typu porušené politiky – viz následující obrázek:

Continuous cloud compliance | Encyklopedie cloudu ORBIT

Základem implementace continuous cloud compliance jsou následující oblasti:

  • existence bezpečnostních nástrojů v cloudu
  • existence bezpečnostních konfigurací a politik
  • schopnost automatizovat vše v cloudu pomocí blueprintů
  • schopnost definovat si vlastní katalog bezpečnostních parametrů pomocí risk base přístupu

…doplněné o procesy:

  • průběžného sběru dat (jaké zdroje či jejich parametry musí být kontinuálně monitorovány),
  • vyhodnocení dat (definování jednotlivých politik hodnotících soulad či nesoulad),
  • reakce (jakým způsobem reagovat na nesoulad politik).

Bezpečnost v cloudu závěrem

Při cestě do cloudu je důležité zpracovat téma cyber security & defense v cloudové strategii a v roadmapě. První čtyři z osmi principů popsaných v tomto článku jsou hygienické, a je proto nutné je řešit hned na začátku cloudové cesty – tedy v době, kdy se na stupnici cloudové vyspělosti nacházíte na úrovni 2 nebo 3.

Zbývající čtyři principy vám přinesou reálné benefity při využívání cloudu teprve po naplnění předchozích čtyř zásad. Jejich výhod jsme schopni čerpat po dosažení vyšší cloud maturity (přibližně na úrovni 3–4).

Vraťme se k úvodním otázkám: Je sdílená odpovědnost bezpečnosti v cloudu riziko, nebo benefit? Mohou být počáteční obavy vystřídány nadšením?

O riziko se jedná jen tehdy, když sdílenou odpovědnost nevezmeme v úvahu a nerealizujeme správně první čtyři principy. V opačném případě převládnou benefity a nadšení, neboť budeme moci naplno využít principy 5–8.

Jak to vidíte vy?

O autorovi
Lukáš Klášterský
Lukáš Klášterský

Digital and Cloud Advisor Partner | LinkedIn

Lukáš se pohybuje v oblasti digitálních a cloudových služeb, která se zabývá transformací IT prostředí do cloudu s využitím vícerychlostního přístupu. Jeho oborem je především adopce, implementace, řízení a transformace IT prostředí a týmů do AWS, Microsoft Azure, M365 v oblasti governance, financí, architektury, vývoje, bezpečnosti a provozu.